13.06 // Плановое июньское обновление SSL-сертификата сайта
В ближайшее время будет произведена замена SSL-сертификата. Обращаю внимание, что по многочисленным просьбам трудящихся было решено перейти на услуги удостоверяющего центра StartSSL™, корневой сертификат которого присутствует в хранилищах большинства ОС/браузеров.
Отпечатки нового сертификата сайта и УЦ приведены ниже.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
Для mastermail.ru вроде ничего и не менялось:
Кто-то, конечно, может заявить, что всплывающие окна и куча предупреждений — это хорошо, т.к. гарантирует, что пользователь осознанно понимает на что идёт, и у него есть повод задуматься, кликая на «добавить в исключения», «вперёд» и «ОК». Типа, не будет ложного ощущения безопасности by default. Тем не менее, на мой взгляд, всё же «HTTP по умолчанию» — большее зло.
Я и сам не даю посторонним ссылки с https — пользователи (даже относительно опытные) начинают орать «на сайте вирус! А-а-а! Что это такое? Я не будет кликать ОК» (и всё это, несмотря на мои объяснения). Потом даёшь такому же ссылку с http, и он сразу в благоденствии. У нас же юзеры как собачки вытренированы: если компьютер ругается, значит это плохо, а если нет, то хорошо (всё просто, типа).
Ладно. Лезу в настройки C.P., кнопка view certificates. Для pgpru.com там числится старый CA серт, на который если кликнуть, он выводит отпечатки и пишет «Could not verify this certificate for unknown reasons» (толстый шрифт, сверху).
Всё это только лишний раз подтверждает, что на сертификаты и их проверку браузером/аддонами лучше не полагаться. Когда делал авторизацию для себя, лучше сделать socks-прокси вида ssh -D порт с авторизацией по ключам, а дальше указать сокс в браузере и прикрыть firewall'ом. Правда, это для единичного и подконтрольного сайта, а что делать с остальными...
Кстати, вот что в C.P. в ignored hosts: si0.twimg.com, s.ytimg.com, www.youtube.com, i1.ytimg.com, i4.ytimg.com, ssl.gstatic.com, encrypted.google.com, s.youtube.com, img.youtube.com, maps.google.com, mts1.google.com, gg.google.com. Для clients1.google.com, i2.ytimg.com, i3.ytimg.com и s2.youtube.com в списке числится «Check CA only» (наверно, это то, что сам навыбирал). Ну вот как тут жить? Если какие-то сайты нагло нарушают принцип, генерируя на лету сотни доменов с непонятно какими сертификатами, что может сделать C.P., полагаясь на принцип «один домен — один сертификат»? Это заведомо проигрышная позиция.
Я думаю, вот чего не хватает в C.P.: надо сделать опции наоборот. Пусть есть конкретный, задаваемый пользователем список сайтов, чтобы он проверял их сертификаты и выдавал все (или какие-то — настраивается пользователем) предупреждения, остальные же (говно)сайты должны автоматически рассматриваться, как ignored hosts. Это позволит защитить хотя бы https с доверенными узлами, хотя правительственные атаки с подменой сертификатов массовых сайтов (типа гугла) это не отловит.
комментариев: 9796 документов: 488 редакций: 5664
Если при этом не нужна анонимность с непрофилируемостью, то можно удалить все CA из браузера и коннектиться к нужному сайту с проверкой и подтверждением вручную.
Если запустить скрытый сервис для pgpru.com, то и проблема сертификатов отпадёт сама собой. Как и часть пользователей.
Да. Жаль, что его пока нету как альтернативы. Запуск скрытого сервиса не подразумевает, что надо отключить основной сайт. Если скрытый сервис будет на том же хостинге, то даже никаких проблем с синхронизацией зеркал не возникнет — просто будет физически один сайт с двумя интерфейсами к нему.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
Да, только надо сначала внести пару корректировок, чтобы избавиться от mixed content.
Мне он предупреждение о смене УЦ выдал, но таки да, классифицировал его как harmless из-за истечения предыдущего серта.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118